Comments
Transcript
ビッグデータ社会におけるプライバシー - Nomura Research Institute
NAVIGATION & SOLUTION ビッグデータ社会におけるプライバシー 「個人情報」から「プライバシー」の保護へ 小林慎太郎 八代 拓 伊藤智久 奥見紗和子 CONTENT S Ⅰ 個人情報の保護では守れないプライバシー Ⅳ 米国、EUそれぞれの規制強化の動き Ⅱ ビッグデータ社会で生じるプライバシー Ⅴ ビッグデータ社会で求められるプライバシー 侵害事件 保護のあり方 Ⅲ プライバシーに対する消費者の意識 要約 1 スマートフォン(高機能携帯電話端末)やソーシャルメディアの普及、ビッグ データビジネスの台頭によって、これまで非個人情報とされていた情報から特 定の個人を識別しやすくなり、既存の個人情報保護法ではプライバシーの保護 が困難になりつつある。 2 プライバシー侵害事件は国内外で生じている。国内はスマートフォンの急速な 普及に伴う過渡的な問題であるのに対し、グーグルなどのグローバル企業の活 動は、個人情報・プライバシーの保護のあり方への挑戦であり、制度的・社会 的な仕組みが問われている。 3 日本の消費者は、自身の個人情報がネット上を流通していることをあまり認識 していないなど、プライバシー侵害に対する自衛意識が低く、企業や社会の保 護対策に委ねる傾向が見られる。 4 米国、EUともに2012年初にプライバシー法制の改正案を発表した。米国が自 主規制、EUは法制の強化を指向するものの、同様の問題意識に基づき対処を 模索している。①行動ターゲティング、②自動プロファイリング・個人データ 売買、③子どものプライバシー保護──の規制案は日本への影響も大きい。 5 到来しつつあるビッグデータ社会に対応するには、「プライバシー・バイ・デ ザイン」の実践など、 「個人情報」から「プライバシー」の保護へと対応を見 直す必要がある。マイナンバー法の施行はその試金石となる。 36 知的資産創造/2012年 9 月号 当レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法および国際条約により保護されています。 CopyrightⒸ2012 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. スマートフォン(高機能携帯電話端末)や 図 1 「個人に関する情報」「個人情報」「プライバ シー」の関係 ソーシャルメディアの普及とともに、個人に 関するデータが日々大量に生成されるように 個人に関する情報 なった。ビッグデータビジネスが推進される 一方で、データの不正利用をはじめとするプ ライバシー侵害事件が頻発し、ネット社会へ の不安が高まっている。 個人情報 ビッグデータは、次代の成長領域と目され るものの、プライバシー問題への対処が大き な課題の一つである。個人に関する情報を安 心して利用・提供できる「ビッグデータ社 会」に向けて、消費者の意識変化や欧米の政 プライバシーは、個人に関する情報(個人情報を含む) の一部の私事・私生活に関する情報が該当する 策動向を踏まえ、「個人情報」の範囲に収ま らない「プライバシー」をめぐる課題につい て指摘し、それへの対処のあり方を提起す る。 報(個人情報を含む)の一部の私事・私生活 本稿では「個人に関する情報」「個人情 報」「プライバシー」を明確に区別して用い るため、最初にその定義と相互の関係を整理 する(図1)。 「個人に関する情報」は、個人に関連する情 に関する情報が該当し、個人情報と1:1の 関係にはない。 Ⅰ 個人情報の保護では守れない プライバシー 報の最も広い集合を意味する用語として用い る。 1 解消されない個人情報保護への 「個人情報」は、個人情報保護法で定義され 不安 ているとおり、「生存する個人に関する情報 2005年に施行された個人情報保護法は、当 であって、当該情報に含まれる氏名、生年月 初こそ、学校の連絡網が作成できなくなった 日その他の記述等により特定の個人を識別す などのいわゆる「過剰反応」を引き起こした ることができるもの(他の情報と容易に照合 ものの、その後、次第に理解が進み、現在で することができ、それにより特定の個人を識 はわれわれの社会生活にとって重要な制度の 別することができることとなるものを含む)」 一つとして定着した感がある。事実、消費者 である。 庁の調査 注1によると、個人情報にかかわる 「プライバシー」は、法令上の定義はない 苦情相談件数と個人情報の漏えい事案件数 が、一般に、個人や家庭内の私事・私生活、 は、いずれも減少傾向にある。 または個人の秘密を指すものであると理解さ ところが、消費者の個人情報保護への不安 れている。プライバシーは、個人に関する情 は大きいままである。総務省の調査 注2によ ビッグデータ社会におけるプライバシー 37 当レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法および国際条約により保護されています。 CopyrightⒸ2012 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. ると、インターネット利用で感じる不安の内 段に向上するため、まさにいつでもどこでも 容として、「個人情報の保護に不安がある」 ネットサービスを利用できることに加え、 と回答した消費者の割合は7割を超えてお GPS(全地球測位システム)が標準搭載され り、増加傾向にある。また事業者における個 ており、ユーザー自身の居場所を取り込んだ 人情報保護対策の位置づけについては、経済 サービスも多数提供されている。この結果ス によると、重要性がますま マートフォンには、電話帳などの個人情報 す高まるか、高いまま維持されていると回答 が、Webサイトの利用履歴、さらにはリア した事業者の割合が8割を超えている。で ルな移動履歴といったプライバシーにかかわ は、いったい何が消費者の個人情報に関する る情報とともに大量に蓄積されることにな 不安を助長し、事業者の対応を要請している り、次章で述べるように、不適切なアプリ 産業省の調査 注3 のであろうか。 (ソフトウェア)によるプライバシー侵害事 件が頻発する状況にある。 2 ネットを取り巻く3つの環境変化 この消費者の不安心理や事業者の高い個人 情報保護対策への意識の背景には、ネットを 取り巻く3つの環境変化があると考えられる。 (2) ソーシャルメディアの利用拡大 ソーシャルメディアは、スマートフォンの 普及に伴って若年層を中心に急速に利用が拡 大している。10億人以上のユーザーを抱える (1) スマートフォンの急激な普及 世界最大のSNS(ソーシャル・ネットワーキ スマートフォンは、2011年度の携帯電話端 ング・サービス)「Facebook(フェイスブッ 末の出荷台数で初めて従来のフィーチャーフ ク)」は実名での利用を義務づけているた ォン(一般型携帯電話端末)を上回り、国民 め、個人情報そのものが日々大量に生成さ 生活に急速に普及しつつある。スマートフォ れ、友人・知人間を流通している。 ンを利用するとインターネットの利便性が格 SNSでは登録情報の種別に応じて公開範囲 を、「友人」「友人の友人」「インターネット 全体」といったように細かく設定できるのが 図 2 個人情報と非個人情報(従来)の例示 個人に関する情報 個人の識別可能性 個人情報 −個人を識別できる− オープン性 公開︵されうる︶ 基本4情報(氏名、性別、 住所、生年月日) ● 電話番号、電子メールア ドレス ● 非個人情報(従来) −個人を識別できない− 一般的である。しかし、初期の公開設定では 「インターネット全体」となっているケース があり、内緒話で書き込んだつもりの情報が 公になってしまう事態も生じている。 航空写真、街路写真 ● 統計データ ● (3) ビッグデータビジネスの台頭 整理されていない非構造の大量データを処 非公開 理することで事業に有意な知見を取り出そう 所得、保有資産 ● 行動履歴(閲覧、購買、 移動など) 健康状態、病歴 ● ● 思想信条 ● というビッグデータビジネスも、個人情報・ プライバシー保護にとっては大きな脅威とな 特定個人を識別できる情報になりうる 38 知的資産創造/2012年 9 月号 当レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法および国際条約により保護されています。 CopyrightⒸ2012 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. りうる。 る注5。しかし、 個人情報保護法では、「容易照合性」(他の ● 個人情報と非個人情報との明確な区別は 難しいこと 情報と容易に照合することができ、それによ り特定の個人を識別できるかどうか)を判断 ● ネットビジネスで収集されるデータは、 基準に、個人情報と非個人情報を区別してい 非個人情報であってもプライバシーの侵 る。しかし、これまで非個人情報とされてい 害につながる可能性があること た情報であっても、個人に関する情報がネッ ● 非個人情報は、本人の知らぬ間にネット ト上に大量に流通するようになり、さらにビ 上を流通し、本人の行動追跡や人物像が ッグデータビジネスによって個人の識別が容 描かれるプロファイリングに利用されて 易にできる社会となりつつある(図2)。 いること たとえば、ニュース記事に掲載された事件 ──から、既存の個人情報保護法では、ビ 現場の写真を、「グーグルマップ」などのイ ッグデータ社会におけるプライバシー問題に ンターネット上の地図情報提供サービスの航 対処することは困難である。「個人情報」か 空写真と照合することで住所を特定できた ら「プライバシー」の保護へと、民間事業 り、匿名化処理をした行動履歴のデータを市 者、行政機関ともに対応が求められている。 販データベースと照合することで、特定個人 の行動履歴データを識別できたりする事例が 報告されている 注4。また、ネット上を流通 Ⅱ ビッグデータ社会で生じる プライバシー侵害事件 するさまざまな情報を収集して特定個人の人 物像を描き出す(プロファイリング)サービ 1 近年のプライバシー侵害事件の スも登場している。 類型 個人情報保護法は、「個人情報を保護する スマートフォンやソーシャルメディアの急 ことで、個人の権利利益を保護する」ことを 速な普及により、新たなプライバシー侵害事 謳っており、ここでいう「個人の権利利益の 件が数多く発生している。近年の主なプライ 保護」にはプライバシーの保護も含まれてい バシー侵害事件の発生要因を、事業者の意識 表1 ビッグデータ社会で生じた主なプライバシー侵害事件とその類型 サービス名 事業者 問題点 問題の類型 ビューン 日本 米国 AppLog(アップログ) Google Buzz (グーグルバズ) フェイスブック ビューン ミログ グーグル フェイスブック ユーザーのページ閲覧 履 歴 を 無 断 で 収 集 し、 サーバーに送信する機 能がついていた点 同意を取得していない、または取 得時の説明が不十分であった点 と、送信される情報がユーザーに とって不透明である点 ユーザーの事前同意を取得せず に、「Gmail」の情報を「Google Buzz」の初期設定時のユーザー 名などに利用したこと ユーザーに通知すること なく、非公開に設定して いた情報の公開設定を変 更した点 事業者の認識不足やセキュリティ対策が 不十分だったことによる問題 スマートフォンの急速な普及に伴って過渡的に生じている。 セキュリティ対策の普及などによって次第に解消されうる 法制度の規範が曖昧な領域に対する事業者の 挑戦による問題 個人情報やプライバシーの保護について、本質的な制度的・ 社会的仕組みが問われている ビッグデータ社会におけるプライバシー 39 当レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法および国際条約により保護されています。 CopyrightⒸ2012 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. 面の特徴から整理すると、大きく2つに類型 しても、プライバシーという曖昧な領域に向 化できる(前ページの表1)。 けて果敢に挑戦するサービスを提供してい 1つ目の類型は、スマートフォンなどの新 る。これらのサービスに対しては、個人情報 たな情報端末の急速な普及と、サービス提供 やプライバシーの保護のための本質的な制度 事業者のプライバシー保護への認識不足から 的・社会的仕組みづくりが求められる。 生じた事件である。スマートフォン向けアプ リを提供している事業者にはベンチャー企業 2 類型1:事業者の認識不足による も多く、プライバシーに対して十分な配慮が プライバシー侵害事件 行き届いていないことがある。さらに、急速 事業者の認識不足によって発生した主なプ に普及した新たなサービスであるため、ガイ ライバシー侵害事件として、「ビューン」と ドラインなどの各種制度が未整備な状態であ 「AppLog(アップログ)」を取り上げる。両 ることも事件発生の要因の一つである。ただ 事件とも、既存の個人情報ではなく、非個人 し、事業者の認識不足によって生じたこれら 情報の取得によってプライバシーを侵害した の事件に対しては、スマートフォン向けの不 という点で、ビッグデータ社会における特徴 正アプリを検出するセキュリティ対策ソフト 的な事件である。 が普及しつつあり、法制度の整備も検討され ビ ュ ー ン と は、 ビ ュ ー ン( 事 業 者 ) が ている。すなわち、これらは過渡的に生じて 「iPhone(アイフォーン) 」や「iPad(アイパッ ド)」「Android(アンドロイド)」の情報端 いる事件であり、次第に解消されうる。 もう1つの類型は、ビッグデータ社会にお 末向けに提供する、電子新聞・雑誌を定額料 けるプライバシーという曖昧な領域に対する 金で購読できるアプリである。問題となった 事業者の挑戦によって生じた事件である。グ のは、2011年11月にビューンが公開したアプ ーグルやフェイスブックなど米国の大手プラ リに、ユーザーの閲覧履歴や端末識別情報を ットフォーマーは、自らが提供した新たなサ 無断で収集する機能がついていたことであっ ービスに対して法的な訴訟が発生していたと た注6(図3)。 図 3 ビューンが提供するアプリ「ビューン」の問題点 ユーザー ビューン(事業者) アプリの提供 ユーザーの閲覧履歴や端末の識別情報を無断で収集 問題点 閲覧数に応じて新聞社や 出版社などに売上金を分配 たとえば成人向け雑誌の閲覧 履歴など、ユーザーがプライ バシーを侵害されたと感じる であろう情報を無断で収集 新聞社・出版社 出所)bizmash!「電子新聞・雑誌に落とし穴、ビューンや産経にユーザー情報の収集機能」 (2012年1月)をもとに作成 40 知的資産創造/2012年 9 月号 当レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法および国際条約により保護されています。 CopyrightⒸ2012 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. ビューンは、記事を掲載している新聞社・ て提供することで報酬を得る仕組みである 出版社への売上金分配のために閲覧履歴を取 (図4)。なおミログは、このプライバシー侵 得し、特典適用の有無を確認するために端末 害事件の影響により、2012年4月に会社を解 識別情報を収集していた。取得した情報から 散・精算した。 個人は識別できないため、ビューンは個人情 AppLogの問題は、AppLogが組み込まれ 報には当たらないと認識していた。確かに、 たアプリの利用開始時に、「端末情報を送信 閲覧履歴から個人を特定することは困難であ して広告配信の最適化などに利用する」とい る。しかし、ユーザーは自分が他人に知られ う旨の簡単な説明のみが表示される点であっ たくないような雑誌(たとえば成人向けの雑 た。実際には、端末にインストールされてい 誌)などの閲覧履歴を無断で取得された場 るすべてのアプリの利用に関する情報を取得 合、プライバシーが侵害されたと感じるであ することや、ユーザーの年齢層や性別などの ろう。閲覧履歴の無断取得についてネット上 データと合わせて分析される点については、 で指摘を受けたため、ビューンは利用規約を ミログのプライバシーポリシーを読み込まな 変更し、現在では閲覧情報などを取得するこ いとわかりにくい。ユーザーは、すべてのア とを明記している。 プリの利用に関する情報が取得されることを 一方、AppLogの事件注7は、ユーザーの同 想定しておらず、プライバシーを侵害された 意を取得する際に十分な説明がされなかった と感じた。 点 が 問 題 で あ っ た。 ミ ロ グ のAppLogは、 Android携帯端末にインストールされたアプ 以上のように、ビッグデータ社会では、非 リの利用状況を監視・取得するプログラム 個人情報の取得においてプライバシー侵害事 で、アプリ開発者はこのAppLogを組み込ん 件が生じている。特に上述の事件は、スマー だアプリを配信し、ユーザーのダウンロード トフォンなどの新たな情報端末の急速な普及 数に応じてミログから報酬が得られる。一方 と、サービス提供事業者のプライバシー保護 ミログは、広告会社にユーザー情報を分析し への認識不足から生じた事件である。ユーザ 図 4 ミログの「AppLog(アップログ)」の問題点 ユーザー アプリ開発者 アプリの提供 導入済みの全アプリの 利用に関する情報を送信 AppLogの提供 報酬 ユーザーの興味 を引きそうな広 告を配信 問題点 AppLogによって送信される 情 報 や 利 用 目 的 の 詳 細 は、 ミログのプライバシーポリ シーを読み込まないと理解 できない 報酬 広告会社 ユーザーの好きなアプリ や 年 齢 層、性 別 な ど の データを分析し提供 ミログ 出所)「アプリ利用時間や回数丸わかり『アップログ』に批判」 (2011年10月5日付『朝日新聞』)をもとに作成 ビッグデータ社会におけるプライバシー 41 当レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法および国際条約により保護されています。 CopyrightⒸ2012 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. 3 類型2:事業者による法制度への 図 5 モバイル向けマルウェア数 3,500 2011年 第1四半期 3,000 法制度に対する事業者の挑戦として、グー 第2四半期 グルの「Google Buzz(グーグルバズ)」と 第3四半期 2,500 挑戦 フェイスブックの事件を取り上げる。 第4四半期 Google Buzzは2010年2月、グーグルのメ 2,000 ールサービス「Gmail(ジーメール)」の機 能として組み込まれたソーシャルサービスで 1,500 ある。Google Buzzの問題は、ユーザーの事 1,000 前同意を取得することなく、Gmailで収集し 500 0 た情報をグーグルが利用した点である注8。 iOS BlackBerry Windows Symbian OS CE OS Android OS J2ME 注)マルウェア:悪意のある不正ソフトウェアや不正プログラムの総称 出所)日本スマートフォンセキュリティ協会「マルウェア対策WG活動報告」2012年 グーグルは、「Gmailで収集した情報をGmail のみに用いる」という利用目的を提示してお り、他に利用する場合は事前に同意を取得す るというポリシーを掲げていたにもかかわら ーがプライバシー侵害と感じる方法でスマー ずGoogle Buzzで利用し、それにユーザーが トフォンなどから情報を取得するアプリは、 プライバシーを侵害されたと感じた(図6)。 ビューンやAppLogにとどまらず数多く存在 また、フェイスブックは2009年12月、ユー している。特にAndroid端末向けの不正アプ ザーが非公開に設定していた可能性のある リは、2011年の後半から急増しており、11年 「Friends List(友だちリスト)」などの情報 で4000件以上も確認されている(図5)。 を、ユーザーの事前同意を取得することな これらの事件は大きな問題ではあるもの く、すべてのユーザーから閲覧可能とした。 の、スマートフォン向けの不正アプリを検出 フェイスブックはそのほかにも、外部のアプ するセキュリティ対策ソフトの普及や、官公 リケーションソフト提供者が必要以上の個人 庁、業界団体などによる法制度の整備が進む データにアクセスできる状態にするなどして ことによって次第に解消されうる。 おり、同社のこうした複数の行為に、ユーザ 図 6 グーグルの「Google Buzz(グーグルバズ)」の問題点 ユーザー グーグル Google Buzzの利用 「Gmail(ジーメール)」の送信者名がGoogle Buzzの 初期ユーザー名に設定されているなど 問題点 Gmailの送信者名がGoogle Buzzの初期のユーザー 名に設定されているなど、ユーザーの事前同意を 取得せずにGmailの情報を利用 42 知的資産創造/2012年 9 月号 当レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法および国際条約により保護されています。 CopyrightⒸ2012 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. ーはプライバシーを侵害されたと感じた注9。 米国連邦取引委員会(FTC)は、Google Buzzやフェイスブックのサービスが、消費 者に損害を及ぼす「不公正または欺瞞的行 図 7 インターネット利用における個人情報・ プライバシー保護に対する消費者の意識 [Q39] インターネットを利用する際に、個人情報 やプライバシーの保護が心配になることは ありますか。(ひとつだけ) 為」に該当すると判断し、両社に対して今後 20年間にわたって総合的なプライバシー保護 心配になる プログラムを実施し、第三者による隔年の監 10.4% ことはない 査等を義務づけるなどの是正措置を命じた。 いつも心配である しかしグーグルは、FTCによる是正措置 32.9% が命じられているにもかかわらず、プライバ シーという曖昧な領域に対して果敢に挑戦す るサービスを提供している。たとえば、同社 ときどき心配になることがある 56.7% は2012年3月に、これまではサービスごとに 策定していたプライバシーポリシーを一元化 し、各サービスにおけるユーザーのデータを 統合して、よりパーソナライズしたサービス N=2,069 出所)野村総合研究所「情報通信サービスに関するアンケー ト」2012年7月 を提供することを宣言した。 グーグルと同様にFTCから是正措置を命 じられているフェイスブックも、ユーザー情 頻発するこうした事件に対し、消費者はどの ような意識を持っているのだろうか。 報の初期設定時の公開範囲を年々拡大するな 野村総合研究所(NRI)が2012年7月に実 ど、プライバシー保護とは逆行するとも取れ 施した「情報通信サービスに関するアンケー るビジネスを展開している。 ト」調査では、インターネット利用の際に個 プライバシーという領域に挑戦するグーグ 人情報・プライバシー保護に対して、「いつ ルやフェイスブックのような事業者に対して も心配である」 「ときどき心配になることがあ は、個人情報やプライバシー保護についての る」と感じている消費者は、合計すると約9 本質的な制度的・社会的仕組みづくりが求め 割に上ることが明らかとなっている(図7)。 一方、情報処理推進機構(IPA)によると、 られると考える。 Ⅲ プライバシーに対する 消費者の意識 個人情報の外部利用に対する日本の消費者 (特に若年層)の意識は、欧州諸国の消費者 に比べて低いという結果が出ている。2010年 にIPAが日本の15~25歳の若年層を対象に実 1 具体的な被害に対する認識が 不十分な日本の若年層 施したインターネット調査の結果と、IPTS (Institute for Prospective Technological 前章に示したとおり、プライバシー侵害に Studies) 注10が同様に、EU(欧州連合)に つながりかねない事件が多数発生している。 加盟する英国、ドイツ、フランス、スペイン ビッグデータ社会におけるプライバシー 43 当レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法および国際条約により保護されています。 CopyrightⒸ2012 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. の4カ国の若年層を対象に実施した調査結果 判が悪くなっているかもしれない」について とを比較した(図8)。その結果、「私の個人 は、日本の若年層の認識はEUの若年層に比 情報が、私の知らないところで使われてい べて約30ポイント低い。この結果から、日本 る」という項目に対して、「非常に懸念して の若年層はEUの若年層に比べて、自分がオ いる」「いくぶんか懸念している」と回答し ンライン上に掲載した個人情報を他者が利用 た人の割合は、日本の若年層が65%、EUの する場合の具体的な影響範囲を、十分に想像 若年層が82%であり、日本のほうが自分の個 できていないことがうかがえる。 人情報の外部利用に対する認識が約20ポイン さらに、自らが個人情報の保護対策を実施 ト低かった。 しているかどうかの状況は、日本の若年層は オンライン上に掲載した個人情報が、自分 EUの若年層に比べて全体的に低い(図9)。 の知らないところで利用されていること自体 具体的には、「ウェブサイトのプライバシ は認識しつつも、具体的にどのように利用さ ーポリシーを読む」「自分を特定されないよ れうるかについての認識が低いということ うに偽の電子メール・アカウントを使用す は、被る可能性のある被害の大きさを十分に る」「クッキー注11を消去する」「個人情報を 想像できていないと考えられる。 少しアレンジする」「プライバシーを確保す るためにブラウザのセキュリティ設定を変え 2 保護対策の実施率が低い る」「コンピュータから個人情報を収集する のを制限するツール(例えばファイアウォー 日本の若年層 また、外部利用の内容が具体的に説明され ル、クッキー・フィルタリング)を使用す ている項目「いろいろなところから個人情報 る」などの対策ついて、「常にする」「頻繁に を用いて、私がどんな人であるかという情報 する」と回答した日本の若年層の割合は、 が形成されている」「オンラインでは、個人 EU若年層に比較して低かった。 情報によって、私の考えていることや行って 日本の若年層がEUの若年層に比べて唯一 いることがゆがめて伝わる場合がある」「オ 高かったのは、「重要な個人情報を入力する ンラインでは、個人情報によって、私は、評 前に、取引が保護されている、あるいは、サ 図 8 個人情報の利用に対する若年層の認識度合い(日本・EU〈欧州連合〉比較) 「利用」一般に 対する認識 外部利用の内容が 具体的に説明され ている項目に対す る認識 65 私の個人情報が、私の知らないところで使われている 82 いろいろなところから個人情報を用いて、私がどんな 人であるかという情報が形成されている 43 オンラインでは、個人情報によって、私の考えている ことや行っていることがゆがめて伝わる場合がある 42 75 69 オンラインでは、個人情報によって、私は、評判が悪 くなっているかもしれない 日本:N=1,006 33 62 0% 20 40 60 EU:N=5,519 80 100 注) 「非常に懸念している」 「いくぶんか懸念している」と回答した人の割合 出所)IPA(情報処理推進機構) 「eIDに対するセキュリティとプライバシに関するリスク認知と受容の調査報告」(2010年8月) 、IPTS“Young People and Emerging Digital Services: An Exploratory Survey on Motivations, Perceptions and Acceptance of Risks” (2009)より作成 44 知的資産創造/2012年 9 月号 当レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法および国際条約により保護されています。 CopyrightⒸ2012 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. イトが安全であるという表示を持っているこ に示したように、個人情報保護の責任の所在 とを確認する」であり、自衛策ではなく第三 がどこにあるかを、企業、個人、社会全体、 者による安全性の保障を示した項目である。 政府、警察・検察・裁判所それぞれについて 聞いたところ、「企業が責任を持つべき」に 3 他者に保護を期待する 「全くそのとおりだ/そのとおりだ」と回答 日本の若年層 した割合は40%と、EUの若年層に比べて10 そもそも、EUの若年層に比べて日本の若 ポイント以上高かった。 年層の個人情報保護対策の実施率はなぜ低い のか。 以上から日本の若年層は、オンライン上の 要因の1つと考えられるのが、EUに比べ 個人情報保護についての自衛意識がEUの若 日本の若年層は、個人情報保護の責任の所在 年層に比べると低く、企業による保護施策に を企業に委ねる傾向が強いことである。図10 期待しているのが比較的大きいことは明らか 図 9 若年層による個人情報保護対策の実施状況(日本・EU 比較) 33 ウェブサイトのプライバシーポリシーを読む 69 自分を特定されないように偽の電子メール・アカ ウントを使用する 16 84 23 クッキーを消去する 56 重要な個人情報を入力する前に、取引が保護さ れている、あるいは、サイトが安全であるとい う表示を持っていることを確認する EUより唯一高い項目 は、第三者により安全 性が確保されたもの 40 28 17 個人情報を少しアレンジする 68 プライバシーを確保するためにブラウザのセキュ リティ設定を変える 24 64 コンピュータから個人情報を収集するのを制限す るツール(例えばファイアウォール、クッキー・ フィルタリング)を使用する 0% 日本:N=1,006 40 EU:N=5,519 42 10 20 30 40 50 60 70 80 90 100 出所)IPA「eIDに対するセキュリティとプライバシに関するリスク認知と受容の調査報告」 (2010年8月)より作成 図 10 オンライン上の個人情報保護責任の所在に対する意識(日本・EU 比較) インターネットでは、個人情報保護については、 情報を処理する企業が責任を持つべきだ 40 27 インターネットでは、個人情報保護については、 自分が責任を持つべきだ 38 32 インターネットでは、個人情報保護を安全にする のは、社会全体の責任だ 21 26 インターネットでは、個人情報保護については、 政府が責任を持つべきだ 個人情報がオンラインで保護されるようにするの は警察・検察・裁判所の責任だ 14 日本:N=1,006 8 EU:N=5,673 13 7 0% 10 20 30 40 50 60 70 80 90 100 注)「全くそのとおりだ」 「そのとおりだ」と回答した人の割合 出所)IPA「eIDに対するセキュリティとプライバシに関するリスク認知と受容の調査報告」 (2010年8月)より作成 ビッグデータ社会におけるプライバシー 45 当レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法および国際条約により保護されています。 CopyrightⒸ2012 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. 表2 米国の「消費者プライバシー権利章典」で示されている権利の 概要 個人によるコントロール 消費者は、事業者が収集する自身の個人データ および利用目的について、コントロールする権 利を有する 透明性 消費者は、事業者によるプライバシーおよびセ キュリティ遵守に関する情報について、容易に アクセスし理解できる権利を有する 脈絡(コンテクスト)の 尊重 消費者は、自身が意図したコンテクスト(脈絡) に沿って、事業者による個人データの収集・利用・ 開示が行われることを期待する権利を有する セキュリティ 消費者は、個人データが安全に管理され、責任 を持って扱われる権利を有する アクセスおよび正確性 消費者は、機微情報や不正確なデータが本人に リスクを与えるような場合、適切かつ利便性の 高い方法で、本人のデータにアクセスし修正す る権利を有する 適切な範囲の収集 消費者は、事業者が収集および保持する個人デー タを適切な範囲にとどめる権利を有する 説明責任 消費者は、個人データが、本権利章典に沿って 取り扱われる権利を有する 出所)米国の消費者プライバシー権利章典より作成 1 米国:プライバシー保護と 産業振興の両立を模索 米国の個人情報保護法制は、業種や分野別 に個別法を定める「セクター形式」を取って おり、わが国の個人情報保護法に相当する一 般法はない。主な個別法には、 ①信用情報分野における公正信用報告法 (FCRA) ②医療分野における医療保険の相互運用性 と説明責任に関する法律(HIPAA) ──などがある。 一般法がないことから、対応する個別法の ない業種・分野における個人情報・プライバ シー保護は事業者の裁量に委ねられている。 すなわち一般法のあるわが国やEUよりも、 米国は個人に関する情報の利用は比較的自由 である。プライバシー侵害事件が急増しつつ な環境にあり、このことから、産業振興を優 あることや、サービス提供者には国内法の及 先する同国の姿勢がうかがえる。 ばない外国企業が多いことなどに鑑みると、 しかし、第Ⅱ章で述べたグーグルとフェイ 危機的な状況であると認識すべきであろう。 スブックの事例に見られるように、個人に関 Ⅳ 米国、EUそれぞれの 規制強化の動き する情報を活用するビジネスが興隆する一方 で、消費者のプライバシーを侵害する事件が 頻発し、規制強化を要請する機運が高まって いた。こうした状況のもと、オバマ政権は 海外に目を転じると、プライバシー保護は 2012年2月に「消費者プライバシー権利章 焦眉の課題となっており、米国、EUともに 典」を取りまとめ、消費者のプライバシー権 法制の見直しの動きが活発化している。どち をこれまでよりも明確にし、事業者の自主規 らも規制強化の方向では一致しているもの 制を促すこととした注12。これは、プライバ の、あくまでも自主規制を基調とする米国 シー保護を強化するための議員立法の提出が と、行政による厳格な法制執行を指向する 相次ぐ状況下にあって、法的拘束力のない消 EUとでは、アプローチの方法が大きく異な 費者の権利章典を定めることで、新たな義務 っている。本章では、米国、EUそれぞれの 規制を事業者に課すことを回避する策と見る 新しいプライバシー法案の主なポイントを比 こともできる。 較しながら、わが国にも対処が求められる3 つの論点について解説する。 46 同章典では消費者の権利を7つ定めている (表2)。それには、 知的資産創造/2012年 9 月号 当レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法および国際条約により保護されています。 CopyrightⒸ2012 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. ①消費者には、事業者が収集する消費者自 てきた。 身の個人データおよび利用目的をコント その成果として、欧州委員会は2012年1月 ロールする権利を有する「自己情報コン に、EUデータ保護指令を全面的に見直した トロール権」 EUデ ー タ 保 護 規 則(General Data Pro- ②消費者自身が意図した脈絡(コンテクス tection Regulation注14)案(以下、新EU規 ト)で、事業者による個人データやプラ 則案)を公表した。EUデータ保護指令が、 イバシーにかかわる情報の取り扱いがな 各国に国内法化する際の裁量を残すルールで されることを期待する権利 あったのに対し、新EU規則案はEU全域を拘 ──などがあり、消費者自らがプライバシ 束する統一ルールに位置づけられる。背景に ー保護に積極的に関与することを奨励しつつ は、急速な変化に適応するため国ごとの差異 も、事業者の自主的な取り組みを促す内容と をなくし、EUが一体となってプライバシー なっている注13。 保護を推進しなければならないという強い危 機感がある注15。 「人権」としてのプライバシー 2 EU: 「プライバシーは重要な人権の一つである」 との基本認識 注16に立脚する新EU規則案で 保護を強化 EUでは、1995年施行のEUデータ保護指令 は、「忘却される権利」や「自動プロファイ に基づいて、EU構成国がそれぞれ国内法を リングされない権利」などの個人の新たな権 制定し、個人情報およびプライバシーの保護 利が創設される。併せて、罰則をはじめとす 措置を講じている。しかし、同指令はインタ る事業者への規制も大幅に強化されている。 ーネットの普及以前に策定された内容であ 同 規 則 案 で は、EU域 内 に 事 業 所 が な く と り、めまぐるしく進化するネット社会に対応 も、EU市民を対象としたサービスを展開す するため、かねてより改正の議論が重ねられ る事業者も規制対象にしており、わが国の事 表3 EUデータ保護規則案で示されている権利の概要 名称 EUデータ保護規則案 基本思想 人権保護 同意取得のあり方 オプトイン(本人の事前同意の取得を義務化) 「自己情報コントロール権」 透明なプライバシーポリシー(11条)や明示的な同意の取得(7条)、自己情報への容 易なアクセスの保証(15条)に加え、「忘却される権利」(17条)等を通じ、消費者の 自己情報コントロール権を強化 特徴 セキュリティ プライバシー強化技術(30条)やプライバシー認証制度(39条)の促進に加え、同規 則違反時における、24時間以内の監督機関への届け出義務(31条)等を明示 データ管理者の責任 プライバシー侵害の予防対策をサービス設計段階から講じる「プライバシー・バイ・ デザイン」原則(23条)や機微情報にかかわるデータ保護影響評価(33条)等を通じ て、データ管理者の説明責任を強化 異議申し立ての権利 自動プロファイリングをされた異議申し立てを行う権利(19条)、および「自動プロファ イリングのみに依拠して評価されない権利」(20条)を規定 子どものプライバシー 13歳未満の子どものデータの取り扱いについては、親権者の事前同意を義務づけ(8条) 非EU地域への言及 EU内に事業所がなくとも、EU市民を対象としたサービスを展開する事業者を規制対 象と規定(3条) 出所)EUデータ保護規則案より作成 ビッグデータ社会におけるプライバシー 47 当レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法および国際条約により保護されています。 CopyrightⒸ2012 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. 業者にとっても看過できない内容となってい なメカニズムを通じて尊重するかという点で る(前ページの表3)。 あった。 こうした要請を踏まえ米国では、「Do Not 3 対処が求められる3つの論点 Track(追跡禁止)」という仕組みによる「オ 欧米のプライバシー保護政策の見直しを踏 プトアウト注19」を基調とする自主規制が推 まえ、わが国への影響が大きいと想定される 進されてきた。Do Not Trackは、ユーザー 3つの論点、①行動ターゲティング、②自動 本人がWebブラウザー上で追跡の可否を設 プロファイリング・個人データの売買、③子 定できる仕組みを導入することで、行動ター どものプライバシー保護──についてそれぞ ゲティングに基づくオンライン広告表示やサ れ述べる。いずれもわが国の個人情報保護法 ービス提供を「希望しないユーザー」の意思 には収まらない領域にあり、国際協調の観点 を尊重するものである(図11)。 からも対処が必要と考えられる。 しかしFTCは、Do Not Trackにかかわる 自主規制が必ずしも十分な効果を生んでいな (1) 行動ターゲティング いとの認識のもと、Do Not Trackの監督を 行動ターゲティングとは、広告配信事業者 強化することを表明した注20。その後マイク などが、クッキーやビーコン注17などを用い ロソフトは、同社のWebブラウザー「イン て、ネット上の個人の行動履歴を収集・分析 ターネットエクスプローラー」の初期設定で し、個人の嗜好に合わせたオンライン広告表 Do Not Trackを有効にすると表明している。 示やサービスを提供するための行為のこと なおオンライン広告業界は、マイクロソフト で、多くの関連ビジネスが展開されている。 のこの決定に反対の姿勢を示している注21。 しかし、この行為はプライバシーを侵害す 一方、EUでは、本人の自己情報コントロー として、米国の消費者団体 ルを尊重し、事業者がクッキーなどを用いて やEUのデータ保護機関から規制強化を要請 行動ターゲティングを行う場合は、ユーザー する機運が高まってきた。その際に論点とな から事前に明示的な同意を取得することを義 ったのは、個人の嗜好に合わせたオンライン 務づける(オプトイン)政策を取っている注22。 広告表示を「希望するユーザー」と「希望し しかし、クッキーはインターネット利用に欠 ないユーザー」のそれぞれの意思をどのよう かせないツールとなっており、すべてをオプ るものである 注18 トインにすると利便性が損なわれ、運用に支 図 11 米国の「Do Not Track(追跡禁止)」の仕組み 障を来すため、オプトアウトがそのまま運用 されているサイトも一部残っている。 Webブラウザー上で 追跡可否を設定 拒否 行動履歴と関係のない オンライン広告を表示 48 許 許可 行動ターゲティングに 基づくオンライン広告 を表示 (2) 自動プロファイリング・個人データ 売買 自動プロファイリングとは、クッキーなど を用いて個人の行動を追跡・推測したり、 知的資産創造/2012年 9 月号 当レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法および国際条約により保護されています。 CopyrightⒸ2012 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. Webサイト上に掲載されている個人情報を 個人情報を収集し、不動産調査会社にそのデ 収集したりして、個人のプロファイルを自動 ータを販売していた。不動産調査会社は、購 作成する行為である。たとえば、SNSやブロ 入データを利用して不動産所有者に向けて、 グなどに書き込んだプライベートな情報がプ 事前同意を取得しない状態で広告を配信し ロファイリング事業者によって収集され、正 た。これに対してフランスのプライバシー監 確性が担保されないまま個人の「歴史」とし 督機関であるCNILは、データの購入者であ て公表されてしまうこともありうる。 る不動産調査会社に対し、2万ユーロの罰金 問題は、「本人の意思に関係なく」「自動で を科したのである(図13)注26。 プロファイリングされ」「正確性が担保され ないまま」「公開される」ことにある。ま た、プロファイリングされたデータの蓄積に (3) 子どものプライバシー保護 SNSをはじめ、若年層がユーザーの中心を 伴って、そうしたデータを売買するデータブ ローカーも多数存在し、誤った人物像が流通 してしまう状況にもある。 米国は2000年初から、プロファイリングの 可否を本人が決定できるよう、また、収集さ れたデータへの本人からのアクセス性、デー タの安全性を担保するよう推進してきたが注23、 図 12 米国でのプロファイリング事業者への罰則付加 FTCはFCRA違反とし て、罰 金80万 ド ル を 科した Spokeo プロファイリング データの販売 FCRAを 遵 守 せ ず に、 雇用・経歴などの情報 をプロファイリング 出版 SNS こうした自主規制では不十分であるとして、 その他 情報発信 FTCは2012年3月、データブローカーを規 制する立法を示唆している注24。実際、すで に2012年6月には、プロファイリングデータ を販売したSpokeoがFTCから80万ドルの罰 金を科される注25など、プロファイリング事 業者の規制強化が始まっている(図12)。 消費者 顧客企業 注)FCRA:公正信用報告法、SNS 告法 :ソーシャル・ネットワーキング・サービス 出所)FTC(米国連邦取引委員会)のWebサイトより作成 図 13 フランスでのプロファイリングデータ購入者への罰則付加 一方、EUは新EU規則案で、本人の個人的 側面の評価や業績、経済状況、所在する場 所、健康、趣味嗜好、信頼性、行動などがプ ロファイリングされない権利を創設し、権利 データ ブローカー 不動産所有者 リストを販売 データの収集 CNILは、個人データの 不正利用に対して、罰 金2万ユーロを科した を侵害しかねないプロファイリングサービス オンライン広告 を牽制している。 すでにフランスでは、プロファイリングデ ネット上で 個人情報を開示 ータの購入者が罰せられる事件が発生した。 本事件では、オンライン広告などの閲覧履歴 をもとにデータブローカーが不動産所有者の 不動産所有者 不動産調査会社 事前同意なく 広告を配信 注)CNIL:フランスのプライバシー監督機関 出所)Privacy and Information Law Blogより作成 ビッグデータ社会におけるプライバシー 49 当レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法および国際条約により保護されています。 CopyrightⒸ2012 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. 占めるオンラインサービスが普及するなか、 る事業者は、本人からの求めに応じて、当該 子どものプライバシー保護が、米国、EUと データのリンクやコピーをネット上から削除 もに重要な課題として認識されている。オン することに責任を負うこととしている。 ラインサービスをゲーム感覚で利用する子ど もは、習熟が早い一方で、社会経験や言語能 力が乏しいため、私生活を不用意にネット上 Ⅴ ビッグデータ社会で求められる プライバシー保護のあり方 に公開してしまうことが多い。書き込んだ内 容が、後に不適切であったと思って消去しよ 前章までに見たとおり、到来しつつあるビ うとしても、ネット上にいったん拡散してし ッグデータ社会に向け、わが国でもプライバ まった情報を消去することは非常に困難であ シー保護への対処は急務である。本章では、 「ユーザー」「ネットサービス事業者」「行政 る。 米国では、子どもオンラインプライバシー 機関・第三者機関」の3つの主体が相互に関 保護法(COPPA)によって、13歳未満の子 係し合うプライバシー保護のポイントを5つ どもがオンラインサービスを利用する際には 提示し(図14)、それぞれの対処のあり方を 親権者の同意を義務づけてきた。しかし、こ 考える。 の法令が事業者によって十分に遵守されてい ないことから、監督が強化される見込みであ 1 ユーザーの期待に応える初期設定、 る注27。 EUも米国と同様に、新EU規則案では13歳 同意取得(オプトアウト、オプ トインの組み合わせ) 未満の子どもの個人データの処理には親権者 本人の意思を尊重して個人情報を取得・利 の同意取得を新たに義務づけた。これにより 用することは原則であるものの、EUのよう EUと米国の、子どものプライバシー保護に に、Webサイトを閲覧する際に挿入される かかわる足並みがそろったことになる。ま クッキーなどに対して必ず同意を求めていて た、創設される忘却される権利は子どものプ は利便性が低下するため、多くの日本人は欲 ライバシー保護を念頭に置いており、ソーシ していないであろうと推測できる。一方で、 ャルメディアなどの個人データを公開してい クッキーを通じて事業者が収集する閲覧履歴 図 14 ビッグデータ社会におけるプライバシー保護を実現させるための 5 つのポイント ユーザー ①ユーザーの期待に応え る初期設定、同意取得 (オ プ ト ア ウ ト、オ プ トインの組み合わせ) ネットサービス 事業者 ④若年層、特に子どものプライ バシー保護・リテラシー向上 ⑤マイナンバー法で導入される仕 組みの着実な導入と拡大 50 ②事前評価によるリス クの特定・最小化(プ ラ イ バ シ ー・バ イ・ デ ザ イ ン:PbD)の 実践 ③ポリシー中心の自主 規制と第三者チェッ クによる実効性担保 行政機関・ 第三者機関 知的資産創造/2012年 9 月号 当レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法および国際条約により保護されています。 CopyrightⒸ2012 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. などの行動履歴情報を、複数の事業者の間で ビスを絞り込むことができれば、ユーザーの 共有されることについては不快と感じること 安心および利便性向上に寄与すると考えられ もあろう。 る注29。 このため、コンテクストに沿って、ユーザ ーが期待する、すなわちユーザーが想定でき 2 事前評価によるリスクの特定・ る情報の取得、利用・提供の範囲を評価し、 その結果に基づいて、情報の公開に関する初 期設定や同意取得すべき場面を設定するよう 最小化(プライバシー・バイ・ デザイン:PbD)の実践 ビッグデータ社会では、これまで非個人情 報と見なされていた情報であっても、特定の 提案する。 たとえば、多くの日本人は氏名や顔写真の 個人が識別される蓋然性が高くなる。このた 提供を忌避する傾向にあることから、SNSで め個人に関する情報を収集する場合は、サー の個人情報の公開範囲は「友人」までを初期 ビス開始に当たって発生する可能性があるプ 設定とする、軽微なポリシー変更(管理者名 ライバシー侵害を事前評価して、リスクを特 の変更など)はオプトアウトとし、当該サイ 定し最小化する取り組みである「プライバシ ト以外へ情報を提供するときは、本人の同意 ー・ バ イ・ デ ザ イ ン(Privacy-by-Design、 をオプトインで取得するといったものであ 以下、PbD)」の実施(図15)が望まれる。 る。また、同意を取得するための通知文に、 PbDを実施する手法としては、「プライバ 「アフターサービスに利用する」などの一般 シ ー 影 響 評 価(Privacy Impact Assess- 的に受容される内容は省略し、本当に伝えた ment:PIA)」があり、米国、カナダ、オー い内容だけに絞り込むことも重要である。 ストラリアなどでは電子政府プロジェクトに ただしこのような取り組みが、競争の激し 伴って行政機関に義務づけられ、定着してい いネット業界で自発的に生まれることを望む る。またEUの新EU規則案では、PIAの実施 のは困難である。事業者が利害を超えてビジ が官民問わず要請されている。わが国のマイ ネスの健全な発展に向かうには、まず公的機 関が指針を明確にし、業界団体などにおいて 図 15 プライバシー・バイ・デザイン(PbD)の実施プロセス 各事業者が協調して対策を図る環境を整備す ることが不可欠であろう注28。 さ ら に、 米 国 のFTCが 推 進 す るDo Not Trackのように、ユーザーのプライバシー設 1. プライバシー要件を作成する 2. 個人に関する情報の流れを確認する 定を情報システムが判読して自動的に対処す 3. プライバシー要求仕様を開発する る仕組みも、今後の発展が期待される。たと 4. プライバシー要求仕様を設計に盛り込む えば、本人が希望するプライバシー保護のレ ベルを高・中・低の3段階で設定しておく と、アクセス先のサイトが初期設定を自動的 にチューニングし、オプトインが必要なサー 5. 開発方法へ適用する 6. テストして確認する プライバシー影響評価 (PIA)を活用する 出所)Ann Cavoukian,“Privacy by Design Curriculum”より作成 ビッグデータ社会におけるプライバシー 51 当レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法および国際条約により保護されています。 CopyrightⒸ2012 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. ナンバー法では、「情報保護評価」として行 4 若年層、特に子どものプライバシー 政機関に義務づけられる予定である。 保護とリテラシーの向上 このPIAの実施時には、経済的損失リスク 若年層は、新しい技術への適応能力に優れ を定量把握することを提案する。サービスの ている一方で、社会経験が乏しいためにプラ 期待収益とプライバシー侵害による経済的損 イバシーへの配慮が不足し、攻撃対象となり 失リスクとを比較衡量すれば、プライバシー やすい。事実、若年層を標的にした不適切な 保護対策に投資すべき予算を正当化すること アプリが急増しつつあり、特に子どものプラ ができ、PbDを円滑に進めることにつながる。 イバシー保護は、焦眉の課題となっている。 13歳未満の子どものネットサービス利用につ 3 ポリシー中心の自主規制と第三者 いては、米国、EUとも保護者の同意を義務 づけることで一致していることは前述のとお チェックによる実効性担保 第Ⅱ章のグーグルやフェイスブックの事例 で見たように、米国では、プライバシーポリ りで、わが国でも早晩、同等の対応が求めら れると考えられる。 シーを、事業者による顧客とのプライバシー また、EUの提唱する忘却される権利は、 保護に対する約束事であるとして、運用実態 特に若年層を意識して議論されており、最近 に不正や欺瞞行為が認められたときは、FTC ではカナダの連邦プライバシーコミッショナ がFTC法5条に基づいて是正措置を命じる ーが、「今日の若者が犯した多くの過ちの電 ことができる。また、前述のようにEUの若 子的記録が何十年も残り続けることは深刻な 年層は、自身のプライバシーを守るために、 懸念のもととなる」注31と表明している。た Webサイトに掲載されたプライバシーポリ だし、忘却される権利を実現するための方法 シーを読む割合が高く(45ページの図9)、 はいまだ模索段階にある注32ことから、まず 同ポリシーは、事業者のプライバシー保護を はプライバシー教育などを通じて、若年層の 律するツールとして機能している。 プライバシーリテラシーを育成することから わが国でも、個人情報保護法に収まらない 着手するのが適切であろう。 プライバシーへの対処は、事業者自らがプラ イバシーポリシーを掲げて自主的に取り組む ことが望まれる 。このためには、まず公 注30 的機関や業界団体が、プライバシーポリシー で表示すべき事項を定める必要がある。 52 5 マイナンバー制度で導入される 仕組みの着実な導入と拡大 社会保障・税の番号(マイナンバー)制度 では、個人情報保護に関する特別法としてマ また、プライバシーポリシーの実効性を高 イナンバー法 注33が施行される予定である めるには、第三者による監視の仕組みが必要 (図16)。同法は、マイナンバーに関係する情 である。わが国は米国やEUのようなプライ 報に限定しているものの、明確にプライバシ バシー保護の監督機関を有しないため、民間 ー保護を射程にしており、前述のPIAに相当 の監査事業者や認定個人情報保護団体などの する情報保護評価が導入されるとともに、個 民間団体を活用することが考えられる。 人番号情報保護委員会という個人の権利利益 知的資産創造/2012年 9 月号 当レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法および国際条約により保護されています。 CopyrightⒸ2012 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. を保護する第三者機関が設置される予定であ 注 る。わが国でプライバシー保護を推進するに 1 消費者庁「平成22年度個人情報の保護に関する 法律施行状況の概要」2011年8月 は、その第一歩としてマイナンバー制度を着 2 実に運用することが重要であると考えられ 総務省「平成18年通信利用動向調査」2006年、 総務省「平成22年通信利用動向調査」2010年 る。 3 2012年上期は、米国、EUともにプライバ 経済産業省「平成23年度 個人情報の保護に関 する取組実態調査」2011年3月 シーに関する法規制の見直し案の発表が相次 4 Paul Ohm, “Broken Promises of Privacy: Responding to the Surprising Failure of いだ。わが国もマイナンバー制度によってプ Anonymization,”UCLA Law Review , Vol. 57, ライバシー保護へ動き出している。まさに 2009 「プライバシー元年」といった様相である。 5 到来しつつあるビッグデータ社会に向け、 宇賀克也『個人情報保護法の逐条解説』(有斐 閣、2005年)による個人の権利利益の解説で 「個人情報」から「プライバシー」の保護へ踏 は、「個人の人格的な権利利益と財産的な権利利 益の双方を含む」とされている み出す覚悟が、官民ともに求められている。 6 「『ビューン』サービスに関わる閲覧履歴等のデ マイナンバー法の施行はその試金石となろう。 図 16 社会保障・税の番号(マイナンバー)制度の導入に向けたロードマップ(抜粋) 2012年 2014年 2015年 2016年 個人番号カードの交付 法案成立 医療などの分野の機微性の高い 個人情報について特段の措置を検討 情報保護評価ガイドライン作成 (情報保護評価SWG) 法案 成立 個人番号情報保護 委員会設置 委員国会同意 システム 要件定義 番号 通知 政省令 特別法案提出 マイナンバー法案提出 マイナンバー法整備法案提出 制度構築 2013年 政省令 委員国会同意 順次、マイナンバーの利用開始 【2015年1月から利用する手続きのイメージ】 社会保障分野 年金に関する相談・照会 税分野 申告書・法定調書などへの記載 防災分野 要援護者リストへのマイナンバー記載 *ただし、事前に条例の手当てが必要 委員国会同意 委員会規制 特定個人情報保護評 価の実施・承認など 情報提供ネットワーク システムなどの監査 実証事業 工程管理支援業務 システム構築 基本設計 詳細設計 プログラム設計、単体テスト 情報提供ネット ワークシステ ム、マイポータ ルの運用開始 2016年1月 よ り、 国の機関間の連携 から開始し、同年 7月 を 目 途 に 地 方 公共団体との連携 についても開始 総合運用テスト センター・バックアップセンター構築 PIAのガイドラインが作成される 「第三者機関」が設置される 出所)内閣官房(2012年5月) ビッグデータ社会におけるプライバシー 53 当レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法および国際条約により保護されています。 CopyrightⒸ2012 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. ータの取り扱いについて(2012年1月12日)」ビ processing of personal data and on the free ューンのWebサイト(http://www.viewn.co.jp/ movement of such data(General Data news/20120112_01.html) Protection Regulation)”Jan. 25,2012 7 「株式会社ミログ 第三者委員会報告書 2011年12 月16日」 15 欧州委員会副議長の発表時のコメント(European Commission, “Commission proposes a 8 Federal Trade Commission,“FTC Charges comprehensive reform of data protection rules Deceptive Privacy Practices in Google's Rollout to increase users' control of their data and to of Its Buzz Social Network,”March 30,2011 cut costs for businesses,”January 25, 2012) (http://www.ftc.gov/opa/2011/03/google.shtm) 16 欧州人権(保護)条約(1950年)の8条1項に 9 Federal Trade Commission ,“Facebook おいて、「すべての者は、その私生活、家族生 Settles FTC Charges That It Deceived 活、住居および通信の尊重を受ける権利を有す Consumers By Failing To Keep Privacy Promises,”November 29,2011(http://ftc. gov/opa/2011/11/privacysettlement.shtm) 10 IPTS(Institute for Prospective Technological る」と規定されている 17 Webサイト等に埋め込まれた、小さな容量の画 像で、ユーザーがWebサイト等へアクセスした という事実を、把握するために用いられる Studies)は、EU政策に対して科学的な視点で 18“Self-Regulatory Principles For Online 評価する仕組みを構築することで、EU政策立案 Behavioral Advertising,”FTC Staff Report, プロセスに対して消費者の視点によるサポート February 2009 を提供することをミッションとして設立された 科学機関 19 ユーザーの明示的な同意を事前に取得せずに、 ユーザーの個人情報を利用し、本人からの求め 11 Webサイトの提供者が、Webブラウザーを通じ に応じてその個人情報の利用を停止するルー て訪問者のパソコンなどに一時的にデータを書 ル。ただし、オプトアウトを採用する場合は、 き込んで保存させる仕組みで、利用者に関する 個人情報の利用目的を事前に通知・公表するこ 情報や最後にサイトを訪れた日時、そのWebサ とが前提となる イトの訪問回数などを記録しておくことができ ることから、認証など利用者の識別に使われる 20 Bloomberg, “FTC Calls for Laws to Boost Consumer Privacy Protections,”Mar 27,2012 12 The White House,“We Can't Wait: Obama (http://www.bloomberg.com/news/2012-03-26/ Administration Unveils Blueprint for a ftc-calls-for-laws-to-boost-consumer-privacy- “Privacy Bill of Rights”to Protect Consumers protection-online.html) Online,”February 23,2012 (http://www. 21“Microsoft Windows 8 includes default Do Not whitehouse.gov/the-press-office/2012/02/23/ Track privacy feature”The Washington Post , we-can-t-wait-obama-administration-unveils- May 31,2012(http://www.washingtonpost. blueprint-privacy-bill-rights) com/blogs/post-tech/post/microsoft-windows- 13 Federal Trade Commission, “Protecting Consumer Privacy in an Era of Rapid 8-includes-default-do-not-track-privacyfeature/2012/05/31/gJQAQ8N74U_blog.html) Change,”FTC REPORT,March,2012(http:// 22 Directive 2009/136/EC(Cookie Directive) ftc.gov/os/2012/03/120326privacyreport.pdf) 23 F e d e r a l T r a d e C o m m i s s i o n ,“ O n l i n e 14 EUROPEAN COMMISSION,“Proposal for a REGULATION OF THE EUROPEAN 54 Profiling:A Report to Congress,”JUNE , 2000 PARLIAMENT AND OF THE COUNCIL on 24 Federal Trade Commission ,“Protecting the protection of individuals with regard to the Consumer Privacy in an Era of Rapid Change,” 知的資産創造/2012年 9 月号 当レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法および国際条約により保護されています。 CopyrightⒸ2012 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. FTC REPORT,March,2012(http://ftc.gov/ os/2012/03/120326privacyreport.pdf) 30 わが国では、プライバシーポリシーは、一般に 「個人情報保護方針」と呼称されている。個人情 25 Federal Trade Commission,“Spokeo to Pay 報保護法では、個人情報保護方針の規定はない $800,000 to Settle FTC Charges Company が、第24条(保有個人データに関する事項の公表 Allegedly Marketed Information to Employers 等)において、公表すべき項目が提示されている and Recruiters in Violation of FCRA,”JUNE 31 カナダ連邦プライバシーコミッショナーWebサ 12,2012(http://ftc.gov/opa/2012/06/spokeo. shtm) イト(2012年6月) 32 グーグルは、「ダッシュボード」というツール 26 Privacy and Information Law Blog,“France: Sending of direct marketing communications: list brokers and clients: CNIL finds liability on both sides,”February 13,2012 (http:// で、個人に関する情報が検索結果に表示されな いようにするサービスを提供している 33 正式名は、行政手続における特定の個人を識別 するための番号の利用等に関する法律案 privacylawblog.ffw.com/category/sanctions) 27 Thompson Coburn LLP,“United States: FTC 著 者 Strengthens Law Protecting Children's 小林慎太郎(こばやししんたろう) Personal Information,”12 March,2012(http:// ICT・メディア産業コンサルティング部兼未来創発セ www.mondaq.com/unitedstates/x/168174/ ンター金融・社会システム研究室上級コンサルタント Privacy/FTC+Strengthens+Law+Protecting+ 専門はIT公共政策・経営 Childrens+Personal+Information) 28 総務省では、利用者視点を踏まえた ICT サービ 八代 拓(やしろたく) スに係る諸問題に関する研究会を組織して「ス 公共経営コンサルティング部副主任研究員 マートフォンを経由した利用者情報の取扱いに 専門は情報法、開発金融政策、東南アジア政治経済 関するWG 最終取りまとめ・スマートフォン 情勢など プライバシー イニシアティブ(案)」(2012年6 月)を策定。同案には、プライバシー保護のた 伊藤智久(いとうともひさ) めの基本原則が示されている 経営情報コンサルティング部副主任コンサルタント 29 類 似 の コ ン セ プ ト にP3P(The Platform for 専門は情報通信・金融・消費財・サービス分野にお Privacy Preferences Project)プロジェクトが ける事業戦略、マーケティング、IT戦略。また、情 ある。P3Pは、Webサイトの運営事業者がプラ 報通信分野における法制度の構築支援など イバシーポリシーを、サイトを訪問する個人の コンピューターのツールが自動的に解読できる 奥見紗和子(おくみさわこ) よう、記述方式を標準化した仕様である。実装 金融コンサルティング部コンサルタント が難しく普及していない 専門はクレジットカード業界における業務改革・シ ステムPMO、個人情報保護政策など ビッグデータ社会におけるプライバシー 55 当レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法および国際条約により保護されています。 CopyrightⒸ2012 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission.